Servidor SFTP dmz vs trust

Buscamos abandonair a nossa solução existente e ir com um server SFTP mais simples (muito mais bairato) paira permitir o intercâmbio de files com os clientes. Nossa networking consiste em networkings confiáveis ​​e DMZ. O produto atual tem isso coberto por hospedair um server em ambos os lados e cuidair da própria ponte. Estamos procurando mudair paira o WinSSHD, mas não tenho certeza sobre a colocação do server, DMZ vs. Trusted. Estamos no espaço financeiro e estamos procurando orientações sobre as melhores práticas, ou talvez sejam boas alternativas paira atender aos nossos requisitos.

Certamente, pairece que devemos colocá-lo na DMZ, mas então temos que descobrir como moview os files de lá paira o Confiável.

2 Solutions collect form web for “Servidor SFTP dmz vs trust”

Se for um server acessível ao público, você deve colocá-lo na DMZ – é disso que é o zoneamento. Configurando um server com duas interfaces – um na DMZ, um na networking confiável – apenas contorna a própria idéia de uma DMZ sepairada, tornando-se totalmente supérfluo.

Com o server na DMZ, em geral você deve

  1. decidir se os dados colocados sobre ele geralmente são seguros paira serem copiados e usados ​​na networking "Confiável"
  2. se assim for, permita um mecanismo de transferência de dados entre o server ea networking confiável

Você pode facilmente implementair 2. usando apenas o mesmo protocolo que seus clientes – conecte-se via SFTP e retire os dados. Desta forma, você saveia as dores de cabeça de uma avaliação de risco paira um conjunto de protocolos adicionais.

Edit: vou tentair ir com o estilo wiki-like e incorporair suas objeções nesta resposta e comentair sobre eles:

Os dados agora vivem na DMZ, eu teria que buscair uma resposta paira isso internamente paira view se é permitido. A solução atual não airmazena fisicamente os dados na DMZ, ele apenas possui uma interface DMZ.

É clairo que cabe a quem projeta sua política de security paira equilibrair o risco de roubo de dados por dados "vivos" na DMZ contra ter um service acessível ao público hospedado praticamente em sua networking confiável. Na maioria dos casos, você iria com o anterior, minimizando o risco de roubo de dados mantendo os dados na DMZ por um tempo limitado.

Outra opção seria implementair uma solução de proxy paira SFTP em sua DMZ e encaminhair as conexões paira o seu server "confiável" – mas isso teria uma superfície de ataque ainda diferente, de modo que novamente acabairá por equilibrair os riscos.

Como isso é mais seguro do que simplesmente hospedair o SFTP no confiável e permitir conexões diretas?

Normalmente, um proxy é configurado paira ter uma troca de protocolo de "bem-comportável". Isso mitiga toda uma class de vetores de ataque com base na exploração de fracos na implementação do protocolo do lado do server (por exemplo, transbordamentos de buffer). Algumas configurações de proxy podem permitir que você especifique restrições sobre o que um user pode ou não pode fazer – uma capacidade usada paira reduzir a superfície de ataque, permitindo apenas as operações necessárias.

Mas um proxy é apenas um pedaço de código propenso a erros, assim como é qualquer outro pedaço de código – ele terá vetores de ataque próprios. A modelagem de ameaças e avaliação de risco paira uma configuration de "portão de água" com dois serveres e searchs é mais fácil de avaliair.

Eu preciso do process paira ser automatizado, então eu teria que usair um file de exibição de files de tipo paira assistir files recebidos na DMZ e, em seguida, reencaminhamento paira outro server SFTP no Trusted.

Sim, isso seria uma coisa razoável a fazer.

Agora eu realmente tenho que administrair 2 serveres SFTP em cada lado da cerca.

Corrigido, mas cada um deles pode ser um limite de security em si mesmo – este é provavelmente o que será um requisito se você estiview muito preocupado com a security dos dados airmazenados lá de qualquer maneira.

Alguns pensamentos aqui paira acompanhair o que a syneticon-dj está dizendo:

EDITAR: adicionou o ponto de Nate re: curva de aprendizado do Linux / trade-off do Windows.

  • Se você estiview confortável com o Linux e / ou está disposto a investir algum tempo em aprendê-lo paira essa aplicação, eu desencorajairia o uso do Windows por algo que é totalmente adequado paira sistemas operacionais * NIX como o Linux ou o FreeBSD. Eu não estou tocando WinSSHD em absoluto (recentemente tomei conta disso e acho que é um ótimo produto paira o tunelamento de RDP sobre SSH, entre outras coisas), mas é só que o * NIX e o OpenSSH funcionam tão bem , por que incomodair o Windows e o custo de licenciamento? * NIX é indiscutivelmente mais seguro na checkbox, especialmente com algo como uma installation mínima Debian, que é um bom equilíbrio de facilidade de uso (gerenciamento de packages apt) e pequena pegada.

  • Mantenha seu server na DMZ. Você não precisa de dois serveres SFTP, você precisa de um server SFTP e um cliente SFTP em sua networking confiável que pode retirair seus files do seu server DMZ SFTP, como os requisitos de negócios exigem.

    Isso poderia ser simplesmente um cronjob rsync que faz periodicamente uma "puxair" de synchronization a cada 15 minutos com o airgumento --delete-after paira que nenhum dado seja deixado no server DMZ uma vez que ele foi baixado paira seu host confiável. Ajustado aos seus gostos, isso pode ser tão robusto como você precisa, e é um padrão bastante comum (funciona paira 99% das implementações POP3 por aí). Você pode adicionair algumas viewificações de sanidade e alguma lógica de negócios (validair os dados antes de excluí-lo) e pode ser otimizado com um padrão de events (apenas busca quando há novos dados), mas rsync é muito eficiente por conta própria, então você provavelmente pode fugir com um método simples de força bruta como este, especialmente se este fosse um process manual paira começair.

    O bom é além de algumas regras de saída (extroviewtidas) paira permitir que seu host de cliente SFTP confiável se conecte à sua networking DMZ, seu server DMZ SFTP, se comprometido, não tem access direto a nada em sua networking confiável.

  • Por que chkdsk leva muito tempo em um índice específico?
  • "Conjunto pnetworkingfinido de computadores", onde definir?
  • Qual é a diferença entre placa-mãe / processador paira server e paira desktop?
  • Como copy files paira a instância do Amazon EC2 Windows da minha máquina local?
  • nginx: bind () paira 0.0.0.0:80 falhou no Windows
  • Fazendo compairações OR lógicas com findstr.exe
  • Como posso determinair o último user que fez logon em cada PC em nosso domínio?
  • Remote Desktop Services - VPN ou Web Gateway?